BECとは？ わかりやすく10分で解説

BEC対策の基本

BECの概要

ビジネスメール詐欺（BEC）は、攻撃者が企業内の担当者や取引先になりすまし、メールを通じて送金や機密情報の提供を誘導する詐欺です。特徴は、マルウェアのように技術だけで突破するのではなく、組織内外の信用関係を悪用して受信者の判断をずらす点にあります。フィッシングやソーシャルエンジニアリングと組み合わせて行われることが多く、受信者に「いつものやり取りだ」と思い込ませることが成功の鍵になります。

多くの場合、BECは事前の情報収集から始まります。攻撃者は公開情報やソーシャルメディア、企業サイトの人員情報、場合によっては流出した内部情報などを材料にして、組織図や取引関係、決裁の流れを推測し、もっともらしい依頼文を作ります。

また、経営層や財務部門になりすまし、「至急」「極秘」「今日中」などの言葉で緊急性を演出して承認を急がせる手口は典型例です。このタイプは「CEO Fraud」と呼ばれることもあり、被害額が大きくなりやすい傾向があります。

攻撃者の目的

BECの主な狙いは金銭の詐取ですが、目的はそれだけに限りません。認証情報や取引情報などの機密情報を抜き取り、次の侵害の足がかりにするケースもあります。攻撃が成功すると、金銭的損害に加え、信用失墜、調査や復旧コストの増大、場合によっては法的責任にもつながります。

一般的な対策として、二要素認証（2FA）や従業員教育、請求や送金フローの確認手順などが挙げられます。ただし、BECは「人の判断」を狙うため、単一の対策だけで完全に防ぐのは困難です。技術と運用を組み合わせて、だまされにくい仕組みを作る必要があります。

巧妙化の背景

BECは年々、文面・手口ともに巧妙化しています。以前は不自然な文体や粗い日本語が手掛かりになることもありましたが、現在は自然な文面の偽メールが作られやすく、見分けが難しくなっています。時事ニュースや経済情勢を持ち出し、内容に現実味を与えて警戒を下げる手口も増えています。

さらに、リモートワークやハイブリッドワークの定着により、対面確認や電話確認が省略されやすくなりました。結果として「いつもの手順」が崩れた隙を突かれ、攻撃が成功しやすくなっています。

被害規模の捉え方

BECによる被害が増加していることは多くの報告で指摘されています。ただし被害額や件数を本文で示す場合は、出典・期間・指標を揃えることが重要です。「数千万ドル」「何十億ドル」といった表現は印象が強い一方、前提がないと説得力を落とします。数値を使う場合は、統計の条件を添えて記述するのが安全です。

BECの典型手口

経営層なりすまし

経営者や役員になりすまし、従業員に高額送金や至急の支払い処理を求める手口です。「権威ある人物からの指示」という偽装が効き、受信者が確認を省略しやすくなります。攻撃者は社内の言い回しや業務フローを調べ、メールを本物らしく仕立てます。

普段と違う依頼は例外として扱い、別経路で本人確認を徹底することが現実的な対策になります。

偽の請求書送付

取引先を装って偽の請求書を送り、支払いを誘導する手口です。取引先名やロゴ、フォーマットを模倣し、「締め切りが迫っている」など緊急性を付与して判断を急がせます。

支払い前の確認手順を固定化し、疑義があれば登録済みの連絡先で確認することが有効です。

振込先の変更要求

サプライヤーやパートナーを装い、振込口座の変更を求める手口です。送金先を攻撃者の口座へ誘導するため、メールアドレスを似せるなどして目視確認の限界を突きます。

口座変更は高リスクな例外なので、別経路での二重確認を必須にすることが効果的です。

メールアカウントの乗っ取り

従業員のメールアカウントに不正アクセスし、正規アカウントから詐欺メールを送る手口です。送信元が正規のため信用されやすく、送金要求や機密情報の提供依頼が通りやすくなります。

2FAの導入、強固なパスワードポリシー、アクセス権の定期点検に加え、不審なログインや転送ルール作成などの兆候監視が重要です。

狙われやすい業界と部門

金融

資金移動が日常的で、攻撃が成功すると被害額が大きくなりやすい領域です。メール対策に加え、送金承認プロセスに多重チェックを組み込むことが重要です。

人事と経理

個人情報や請求処理など機密性の高い業務が集中し、外部とのやり取りも多いため狙われやすい傾向があります。メールだけで指示を完結させず、別経路確認を含む二重チェックを標準化します。

法務

重要契約や企業秘密など高度な機密情報を扱うため、なりすましの価値が高い標的です。確認手順の固定と、機密情報共有のチャネル分離が有効です。

小売

取引先が多く、変更連絡が紛れやすい構造があり、支払先変更詐欺が成立しやすい領域です。変更依頼は正規連絡先で確認し、取引先ともルールを共有します。

BECを防ぐ基本戦略

教育と訓練

BECは「急ぎ」「上司の指示」「取引先の依頼」といった心理を突きます。疑わしいメールに即応しない、別経路で確認する、例外扱いする、といった行動を手順として定着させます。研修は一度で終わらせず、定期的な訓練と周知で効果を維持します。

認証と権限管理

2FAやMFAは不正アクセスを減らします。加えて最小権限の原則、アクセス権の定期見直し、退職や異動時の即時無効化などを徹底し、乗っ取られても被害が広がりにくい状態を作ります。

メール認証の導入

SPF、DKIM、DMARCは送信元ドメインの正当性を確認し、なりすましメールを減らすのに役立ちます。設定だけで満足せず、ポリシー運用と監視を組み合わせることが重要です。

インシデント対応の整備

BECはゼロにできない前提で、初動手順、連絡窓口、証拠保全、送金停止の連絡、影響調査、社内周知までを手順化します。訓練で迷いを減らし、発生後の学びを教育と運用へ反映します。

実務で効くメールセキュリティ対策

多層防御

メールゲートウェイ、認証、監視、端末防御、運用手順を重ね、どこかが突破されても被害が拡大しない構造を作ります。導入時は「何を防ぎ、何を検知し、どこで止めるか」を分解して設計します。

フィルタリングと監視

フィルタリングは危険なメールを隔離し、監視は異常なパターンを検知します。経営層アカウントの不審な送信、転送ルール作成、普段と異なる送金依頼など、本文だけでなく挙動も見る仕組みが有効です。

監査とレビュー

ポリシーが守られているか、例外運用が増えていないか、教育が実務に落ちているかを点検します。必要に応じて外部の視点も取り入れ、改善サイクルを回します。

端末防御

メール経由の脅威を前提に、端末側の防御も固めます。OSやソフトの更新、EDRなどの運用、設定適用状況の確認を継続し、最終防衛線として機能させます。

組織文化の作り方

確認を推奨する文化

BECは「急ぎだから」で手順が破られたときに成立します。経営層が確認を歓迎し、差し戻しを当然とする姿勢を示すことで、現場は落ち着いて判断できます。教育と訓練を継続し、形だけの取り組みにしないことが重要です。

報告しやすい仕組み

疑わしいメールを報告しやすい窓口と手順があれば、被害を未然に止められる可能性が上がります。報告した人を責めない文化を作ることで、早期発見が促進されます。

継続的な改善

脅威と業務フローは変化するため、定期評価、訓練、運用改善を繰り返し、ギャップを潰していくことが必要です。改善を継続する文化が、未知の手口に対する強さになります。

取引先と協調した対策

BECは組織間のコミュニケーションを狙うため、取引先やサプライヤーとの連携が重要です。口座変更連絡の確認方法など、最低限のルールを共有し、供給網全体としてだまされにくい状態を作ります。

まとめ

BECは、なりすましやアカウント乗っ取りを通じて、送金や機密情報の提供を誘導する詐欺です。典型的な手口は経営層なりすまし、偽請求、振込先変更、アカウント乗っ取りで、金融、人事経理、法務、小売などが狙われやすい傾向があります。対策は、教育、認証と権限管理、メール認証、監視運用、インシデント対応を組み合わせ、組織文化として確認を標準化することが鍵になります。